VMG – Laboratorio ciberseguridad del grupo de investigación TIC-154

dirección

Despacho 2
Dpto. Ing. Telemática
ETS de Ingeniería
c/ Camino de los descubrimientos s/n
41092 - Sevilla

Contacto

vmayor @ us.es

VICENTE JESÚS MAYOR GALLEGO

PUESTOS

Profesor Ayudante Doctor de Ingeniería Telemática
Dpto. Ing. Telemática
Universidad de Sevilla

fORMACIÓN académica

Doctor Ingeniero de Telecomunicación - Universidad de Sevilla

Docencia reglada

líneas de investigación

ORCID

0000-0002-8461-1102

Pub. JCR

PUBLICACIONES

PROYECTOS INV.

acciones TRANSF.

ACCIONES INNOVACIÓN DOCENTE

ASIGNATURAS IMPARTIDAS

DIRECCIÓN ALUMNOS

PREMIOS

Resumen

Vicente Mayor es Doctor Ingeniero de Telecomunicación por la Universidad de Sevilla desde 2020. Respecto a su experiencia profesional, de 2020 a 2021 ocupó el cargo de Jefe de Proyectos de I+D en la entidad privada Wellness Telecom (España), participando en cinco proyectos diferentes de I+D, principalmente relacionados con redes de comunicación y ciberseguridad en el marco de varios programas de financiación a diferentes niveles (regional – CTA, nacional – CDTI, e internacional – H2020). Durante este periodo, desempeñó una gran variedad de tareas, desde la redacción de propuestas para las citadas convocatorias, hasta su seguimiento durante la ejecución, tanto técnica como económica, y finalmente su justificación. Por otro lado, y simultáneamente, ha estado asociado con el Departamento de Ingeniería Telemática desde 2017, primero como Personal Investigador a través de la Asociación de Investigación y Cooperación Industrial de Andalucía (AICIA), y finalmente, desde 2020, como Personal Docente e Investigador de la Universidad de Sevilla, pasando por las siguientes figuras contractuales: Profesor Sustituto Interino a tiempo parcial, Profesor Sustituto Interino a tiempo completo y, desde 2023, Profesor Ayudante Doctor.

Su labor investigadora se inicia por tanto en 2017, centrada inicialmente en las redes y comunicaciones inalámbricas para la prestación de servicios de voz bajo restricciones de calidad de servicio y ahorro energético, formando parte del grupo de investigación TIC154 de PAIDI. No obstante, desde los últimos 3 años, a su investigación principal se ha incorporado el sector de la ciberseguridad, principalmente ligado a la detección de ciberataques en entornos ICS e IoT, aplicando técnicas de análisis de tráfico basado en flujos, perfilado de comunicaciones industriales (i.e., Modbus, IEC104, o DNP3), inventariado, aprendizaje automático y correlación de alertas. En su actividad investigadora se destaca una producción científica de 10 publicaciones indexadas en WoS, dos publicaciones no indexadas, y tres ponencias en congresos siempre bajo revisión por pares. De entre sus publicaciones más recientes (2023-2024) destacan, en el ámbito de la ciberseguridad: «Smart home anomaly-based IDS: Architecture proposal and case study» (Q1) y «Anomaly-based Intrusion Detection System for smart lighting» (Q1), «Blockchain-based service-oriented architecture for consent management, access control, and auditing» (Q2); y en el ámbito del IoT: «Minimizing energy consumption in 802.15.4 IoT devices with multilevel xRPL (MxRPL)» (Q1). Las publicaciones mencionadas en el contexto de la ciberseguridad, definen un sistema de detección de intrusiones basado en anomalías para Smart Home y Smart Lighting, proponiendo una arquitectura que considera tanto los datos de aplicación (telemetría) como el tráfico de red.

En cuanto a la participación en proyectos y contratos de investigación desde la Universidad, ha participado en 4 contratos con empresas en el ámbito de la ciberseguridad e IoT: SPECTRA, que explora el uso de vehículo como propulsor de la smartcity; RENSHIELD, que define un sistema para la detección de ciberamenazas en los sistemas de monitorización y control de instalaciones de generación renovables, y OREOS, en la que se propone un sistema de detección de comportamientos anómalos (UEBA -User and Entity Behavior Analytics-) basado en los eventos registrados por un gestor de identidades. Asimismo, ha formado parte del equipo de trabajo de un proyecto del Plan Nacional, COINCYDE, sobre detección de ciberataques en industria conectada e IoT mediante integración y correlación de alertas multifuente.

Durante su relación laboral con Wellness Telecom participó en 5 proyectos. Como Jefe de Proyectos I+D participó en el proyecto SmartCLIDE (H2020), cuyo propósito era el desarrollo de un nuevo Entorno de Desarrollo Integrado (IDE) en la nube para el desarrollo de aplicaciones cloud; el proyecto SEGRES (CDTI) centrado en la definición de un sistema inmunitario artificial para la protección de la llamada Industria 4.0 (sistemas cíber-físicos e IoT); el proyecto TERMINET (H2020), centrado en desarrollar una novedosa arquitectura de referencia de próxima generación basada en tecnologías de vanguardia como SDN, computación en el borde, virtualización para el IoT, e introducir nuevos dispositivos IoT inteligentes de baja latencia para casos de uso orientados al mercado. Como jefe de proyectos adjunto participó en el proyecto ServiceChain (CDTI), con el objetivo acercar la tecnología Blockchain al uso empresarial con el fin de potenciar la identidad digital, trazabilidad de acciones y bienes, y el uso de Smart Contracts para digitalizar las relaciones; y en el proyecto QualiSmart (CDTI), en el que proponía una colaboración para desarrollar un Smart Pole para Smart Cities.

En la actualidad, sus líneas de investigación principales se enfocan en el desarrollo de sistemas de detección de intrusos (IDS) para entornos IoT y protocolos industriales (ICS), considerando las limitaciones propias de estos contextos, así como el uso de técnicas de análisis del comportamiento de usuarios y entidades (UEBA) aplicadas a la gestión de identidades y accesos (IAM), con el objetivo de mejorar la detección de amenazas internas y reforzar la seguridad en infraestructuras críticas.

Publicaciones (ciberseguridad)

2025

Muñoz-Calle, Javier; Fernández-Jiménez, Francisco José; Estepa, Rafael; Mayor, Vicente; Garcia-Campos, José M.

Experiencias de formación en ciberseguridad usando portales cautivos Proceedings Article

En: Actas de las X Jornadas Nacionales de Investigación en Ciberseguridad, pp. 477-484, 2025, ISBN: 78-84-10169-61-6.

Resumen | BibTeX

2024

Lara, Agustín; Estepa, Antonio; Estepa, Rafael; Díaz-Verdejo, Jesús E.; Mayor, Vicente

Anomaly-based Intrusion Detection System for smart lighting Artículo de revista

En: Internet of Things, vol. 28, pp. 101427, 2024, ISSN: 2542-6605.

Resumen | Enlaces | BibTeX

@article{LARA2024101427,

title = {Anomaly-based Intrusion Detection System for smart lighting},

author = {Agustín Lara and Antonio Estepa and Rafael Estepa and Jesús E. Díaz-Verdejo and Vicente Mayor},

url = {https://www.sciencedirect.com/science/article/pii/S2542660524003688},

doi = {https://doi.org/10.1016/j.iot.2024.101427},

issn = {2542-6605},

year  = {2024},

date = {2024-01-01},

urldate = {2024-01-01},

journal = {Internet of Things},

volume = {28},

pages = {101427},

abstract = {Smart Lighting Systems (SLS) are essential to smart cities, offering enhanced energy efficiency and public safety. However, they are susceptible to security threats, potentially leading to safety risks and service disruptions, making the protection of this infrastructure critical. This paper presents an anomaly-based Intrusion Detection System (IDS) designed for a real-world operational SLS. As commercial deployments vary in components, protocols, and functionalities, IDSs must be tailored to the specific characteristics of each deployment to perform effectively. Our anomaly-based IDS has been defined based on the properties of the available data and the types of attacks we aim to detect, offering both explainability and low complexity. The proposed system identifies anomalies in seven features of network traffic and in the telemetry data received at the central control (O&M) server. For the latter, we designed three customized detectors to identify abnormal data points, persistent deviations in street lamp power consumption, and abnormal power value based on the time of day. Validation with real-world data and simulated attacks demonstrates the effectiveness of our approach. Network attacks (e.g., DoS, scanning) were detected by at least one of the seven flow-related anomaly detectors, while simulated data poisoning attacks and operational technology (OT) issues were detected with nearly 90% accuracy. The datasets used in this work are publicly available and may serve as reference for the design of future IDSs. While our detectors were designed specifically for our dataset, the variables examined and vulnerabilities addressed are common in most commercial SLSs.},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

2023

Walabonso Lara, Agustín; Mayor, Vicente; Estepa Alonso, Rafael; Estepa Alonso, Antonio; Díaz-Verdejo, Jesús E.

Smart home anomaly-based IDS: Architecture proposal and case study Artículo de revista

En: Internet of Things, vol. 22, pp. 100773, 2023, ISSN: 2542-6605.

Resumen | Enlaces | BibTeX

@article{Lara2023,

title = {Smart home anomaly-based IDS: Architecture proposal and case study},

author = { {Walabonso Lara}, Agustín and Vicente Mayor and {Estepa Alonso}, Rafael and {Estepa Alonso} , Antonio and Jesús E. {Díaz-Verdejo}},

url = {https://linkinghub.elsevier.com/retrieve/pii/S2542660523000963},

doi = {10.1016/J.IOT.2023.100773},

issn = {2542-6605},

year  = {2023},

date = {2023-07-01},

urldate = {2023-07-01},

journal = {Internet of Things},

volume = {22},

pages = {100773},

publisher = {Elsevier},

abstract = {The complexity and diversity of the technologies involved in the Internet of Things (IoT) challenge the generalization of security solutions based on anomaly detection, which should fit the particularities of each context and deployment and allow for performance comparison. In this work, we provide a flexible architecture based on building blocks suited for detecting anomalies in the network traffic and the application-layer data exchanged by IoT devices in the context of Smart Home. Following this architecture, we have defined a particular Intrusion Detector System (IDS) for a case study that uses a public dataset with the electrical consumption of 21 home devices over one year. In particular, we have defined ten Indicators of Compromise (IoC) to detect network attacks and two anomaly detectors to detect false command or data injection attacks. We have also included a signature-based IDS (Snort) to extend the detection range to known attacks. We have reproduced eight network attacks (e.g., DoS, scanning) and four False Command or Data Injection attacks to test our IDS performance. The results show that all attacks were successfully detected by our IoCs and anomaly detectors with a false positive rate lower than 0.3%. Signature detection was able to detect only 4 out of 12 attacks. Our architecture and the IDS developed can be a reference for developing future IDS suited to different contexts or use cases. Given that we use a public dataset, our contribution can also serve as a baseline for comparison with new techniques that improve detection performance.},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

Román-Martínez, Isabel; Calvillo-Arbizu, Jorge; Mayor-Gallego, Vicente J.; Madinabeitia-Luque, Germán; Estepa-Alonso, Antonio J.; Estepa-Alonso, Rafael M.

Blockchain-Based Service-Oriented Architecture for Consent Management, Access Control, and Auditing Artículo de revista

En: IEEE Access, vol. 11, pp. 12727-12741, 2023, ISSN: 2169-3536.

Resumen | Enlaces | BibTeX

@article{10036374,

title = {Blockchain-Based Service-Oriented Architecture for Consent Management, Access Control, and Auditing},

author = {Isabel Román-Martínez and Jorge Calvillo-Arbizu and Vicente J. Mayor-Gallego and Germán Madinabeitia-Luque and Antonio J. Estepa-Alonso and Rafael M. Estepa-Alonso},

doi = {10.1109/ACCESS.2023.3242605},

issn = {2169-3536},

year  = {2023},

date = {2023-01-01},

urldate = {2023-01-01},

journal = {IEEE Access},

volume = {11},

pages = {12727-12741},

abstract = {Continuity of care requires the exchange of health information among organizations and care teams. The EU General Data Protection Regulation (GDPR) establishes that subject of care should give explicit consent to the treatment of her personal data, and organizations must obey the individual’s will. Nevertheless, few solutions focus on guaranteeing the proper execution of consents. We propose a service-oriented architecture, backed by blockchain technology, that enables: (1) tamper-proof and immutable storage of subject of care consents; (2) a fine-grained access control for protecting health data according to consents; and (3) auditing tasks for supervisory authorities (or subjects of care themselves) to assess that healthcare organizations comply with GDPR and granted consents. Standards for health information exchange and access control are adopted to guarantee interoperability. Access control events and the subject of care consents are maintained on a blockchain, providing a trusted collaboration between organizations, supervisory authorities, and individuals. A prototype of the architecture has been implemented as a proof of concept to evaluate the performance of critical components. The application of subject of care consent to control the treatment of personal health data in federated and distributed environments is a pressing concern. The experimental results show that blockchain can effectively support sharing consent and audit events among healthcare organizations, supervisory authorities, and individuals.},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

Mayor, V.; Estepa, R.; Estepa, A.

CO-CAC: A new approach to Call Admission Control for VoIP in 5G/WiFi UAV-based relay networks Artículo de revista

En: Computer Communications, vol. 197, pp. 284-293, 2023, ISSN: 01403664, (cited By 0).

Resumen | Enlaces | BibTeX

@article{Mayor2023284,

title = {CO-CAC: A new approach to Call Admission Control for VoIP in 5G/WiFi UAV-based relay networks},

author = {V. Mayor and R. Estepa and A. Estepa},

url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-85145556975&doi=10.1016%2fj.comcom.2022.11.006&partnerID=40&md5=8185edfcb26bb2d34ddc5fbccf38f0cb},

doi = {10.1016/j.comcom.2022.11.006},

issn = {01403664},

year  = {2023},

date = {2023-01-01},

urldate = {2023-01-01},

journal = {Computer Communications},

volume = {197},

pages = {284-293},

publisher = {Elsevier B.V.},

abstract = {Voice over IP (VoIP) requires a Call Admission Control (CAC) mechanism in WiFi networks to preserve VoIP packet flows from excessive network delay or packet loss. Ideally, this mechanism should be integrated with the operational scenario, guarantee the quality of service of active calls, and maximize the number of concurrent calls. This paper presents a novel CAC scheme for VoIP in the context of a WiFi access network deployed with Unmanned Aerial Vehicles (UAVs) that relay to a backhaul 5G network. Our system, named Codec-Optimization CAC (CO-CAC), is integrated into each drone. It intercepts VoIP call control messages and decides on the admission of every new call based on a prediction of the WiFi network's congestion level and the minimum quality of service desired for VoIP calls. To maximize the number of concurrent calls, CO-CAC proactively optimizes the codec settings of active calls by exchanging signaling with VoIP users. We have simulated CO-CAC in a 50m × 50m scenario with four UAVs providing VoIP service to up to 200 ground users with IEEE 802.11ac WiFi terminals. Our results show that without CAC, the number of calls that did not meet a minimum quality level during the simulation was 10% and 90%, for 50 and 200 users, respectively. However, when CO-CAC was in place, all calls achieved minimum quality for up to 90 users without rejecting any call. For 200 users, only 25% of call attempts were rejected by the admission control scheme. These results were narrowly worse when the ground users moved randomly in the scenario. © 2022 Elsevier B.V.},

note = {cited By 0},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

2022

Mayor, V.; Estepa, R.; Estepa, A.; Madinabeitia, G.

Deployment of UAV-mounted Access Points for VoWiFi Service with guaranteed QoS Artículo de revista

En: Computer Communications, vol. 193, pp. 94-108, 2022, ISSN: 01403664, (cited By 0).

Resumen | Enlaces | BibTeX

Mayor, V.; Estepa, R.; Estepa, A.

QoS-Aware Multilayer UAV Deployment to Provide VoWiFi Service over 5G Networks Artículo de revista

En: Wireless Communications and Mobile Computing, vol. 2022, 2022, ISSN: 15308669, (cited By 4).

Resumen | Enlaces | BibTeX

2020

Mayor, V.; Estepa, R.; Estepa, A.; Madinabeitia, G.

Energy-efficient uavs deployment for qos-guaranteed vowifi service Artículo de revista

En: Sensors (Switzerland), vol. 20, no 16, pp. 1-32, 2020, ISSN: 14248220, (cited By 8).

Resumen | Enlaces | BibTeX

@article{Mayor20201,

title = {Energy-efficient uavs deployment for qos-guaranteed vowifi service},

author = {V. Mayor and R. Estepa and A. Estepa and G. Madinabeitia},

url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-85089348929&doi=10.3390%2fs20164455&partnerID=40&md5=e3dcfd4e62d8b2180e9fdfe7b936b6c0},

doi = {10.3390/s20164455},

issn = {14248220},

year  = {2020},

date = {2020-01-01},

urldate = {2020-01-01},

journal = {Sensors (Switzerland)},

volume = {20},

number = {16},

pages = {1-32},

publisher = {MDPI AG},

abstract = {This paper formulates a new problem for the optimal placement of Unmanned Aerial Vehicles (UAVs) geared towards wireless coverage provision for Voice over WiFi (VoWiFi) service to a set of ground users confined in an open area. Our objective function is constrained by coverage and by VoIP speech quality and minimizes the ratio between the number of UAVs deployed and energy efficiency in UAVs, hence providing the layout that requires fewer UAVs per hour of service. Solutions provide the number and position of UAVs to be deployed, and are found using well-known heuristic search methods such as genetic algorithms (used for the initial deployment of UAVs), or particle swarm optimization (used for the periodical update of the positions). We examine two communication services: (a) one bidirectional VoWiFi channel per user; (b) single broadcast VoWiFi channel for announcements. For these services, we study the results obtained for an increasing number of users confined in a small area of 100 m2 as well as in a large area of 10,000 m2 . Results show that the drone turnover rate is related to both users’ sparsity and the number of users served by each UAV. For the unicast service, the ratio of UAVs per hour of service tends to increase with user sparsity and the power of radio communication represents 14–16% of the total UAV energy consumption depending on ground user density. In large areas, solutions tend to locate UAVs at higher altitudes seeking increased coverage, which increases energy consumption due to hovering. However, in the VoWiFi broadcast communication service, the traffic is scarce, and solutions are mostly constrained only by coverage. This results in fewer UAVs deployed, less total power consumption (between 20% and 75%), and less sensitivity to the number of served users. © 2020 by the authors. Licensee MDPI, Basel, Switzerland.},

note = {cited By 8},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

Mayor, V.; Estepa, R.; Estepa, A.; Madinabeitia, G.

Unified call admission control in corporate domains Artículo de revista

En: Computer Communications, vol. 150, pp. 589-602, 2020, ISSN: 01403664, (cited By 4).

Resumen | Enlaces | BibTeX

@article{Mayor2020589,

title = {Unified call admission control in corporate domains},

author = {V. Mayor and R. Estepa and A. Estepa and G. Madinabeitia},

url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-85076849304&doi=10.1016%2fj.comcom.2019.11.041&partnerID=40&md5=5af7826dafc22674ad6e1d5dd0e20f57},

doi = {10.1016/j.comcom.2019.11.041},

issn = {01403664},

year  = {2020},

date = {2020-01-01},

urldate = {2020-01-01},

journal = {Computer Communications},

volume = {150},

pages = {589-602},

publisher = {Elsevier B.V.},

abstract = {Call Admission Control is a central mechanism for assurance of quality of service in telephony. While CAC is integrated into Public Switched Telephony Network (PSTN), its application to voice over IP in a corporate environment is challenging not only due to the heterogeneity of technologies, but also because of the difficulty of implementation into commercial VoIP terminals or Access Points. We present a novel framework that unifies call admission control for VoIP telephony corporate users despite their access network (i.e., WiFi or Ethernet) under a single corporate management domain. Our Unified CAC (U-CAC) system can be implemented in a VoIP Gateway/Proxy and uses only standard protocols already present in commercial off-the-shelf devices, avoiding the need to modify the firmware of existing APs or VoIP terminals. We define two variants of the decision algorithm: basic and advanced. In the basic mode of operation, the admission of new calls is based on the availability of spare circuits and the impact of the new call in the speech quality of VoWiFi calls in progress. In the advanced mode of operation, the traffic load in affected APs is proactively reduced by reconfiguring ongoing calls before rejecting the new call. Simulation results show that the number of simultaneous VoWiFi calls under guaranteed quality increases with our unified call admission control scheme. When using the advanced mode of operation, the number of simultaneous calls under guaranteed quality can be doubled when compared to the standard mode of operation. © 2019 Elsevier B.V.},

note = {cited By 4},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

2019

Mayor, V.; Estepa, R.; Estepa, A.; Madinabeitia, G.

Deploying a Reliable UAV-Aided Communication Service in Disaster Areas Artículo de revista

En: Wireless Communications and Mobile Computing, vol. 2019, 2019, ISSN: 15308669, (cited By 25).

Resumen | Enlaces | BibTeX

@article{Mayor2019,

title = {Deploying a Reliable UAV-Aided Communication Service in Disaster Areas},

author = {V. Mayor and R. Estepa and A. Estepa and G. Madinabeitia},

url = {https://www.scopus.com/inward/record.uri?eid=2-s2.0-85065643702&doi=10.1155%2f2019%2f7521513&partnerID=40&md5=415539a365bd0d35ce600b19ff3ce412},

doi = {10.1155/2019/7521513},

issn = {15308669},

year  = {2019},

date = {2019-01-01},

urldate = {2019-01-01},

journal = {Wireless Communications and Mobile Computing},

volume = {2019},

publisher = {Hindawi Limited},

abstract = {When telecommunication infrastructure is damaged by natural disasters, creating a network that can handle voice channels can be vital for search and rescue missions. Unmanned Aerial Vehicles (UAV) equipped with WiFi access points could be rapidly deployed to provide wireless coverage to ground users. This WiFi access network can in turn be used to provide a reliable communication service to be used in search and rescue missions. We formulate a new problem for UAVs optimal deployment which considers not only WiFi coverage but also the mac sublayer (i.e., quality of service). Our goal is to dispatch the minimum number of UAVs for provisioning a WiFi network that enables reliable VoIP communications in disaster scenarios. Among valid solutions, we choose the one that minimizes energy expenditure at the user's WiFi interface card in order to extend ground user's smartphone battery life as much as possible. Solutions are found using well-known heuristics such as K-means clusterization and genetic algorithms. Via numerical results, we show that the IEEE 802.11 standard revision has a decisive impact on the number of UAVs required to cover large areas, and that the user's average energy expenditure (attributable to communications) can be reduced by limiting the maximum altitude for drones or by increasing the VoIP speech quality. © 2019 Vicente Mayor et al.},

note = {cited By 25},

keywords = {},

pubstate = {published},

tppubtype = {article}

}

Cerrar

NOTA: La paginación afecta a todos los apartados. Vuelva a la página 1 para ver los elementos de otras categorías.

Proyectos de investigación (ciberseguridad)

PID2020-115199RB-I00 – Detección de ciberataques en “industria conectada” e IoT mediante integración y correlación de alertas multifuente (COINCYDE)

Entidad financiadora: Ministerio de Ciencia e Innovación – MICIN/AEI/10.13039/50110 0 011033

Entidad/es participantes: Universidad de Granada / Universidad de Sevilla – N. invest.: 8

Periodo: 01/09/2021 a 31/08/2024

Resumen | Enlaces | BibTeX

@online{coincyde,

title = {Detección de ciberataques en “industria conectada” e IoT mediante integración y correlación de alertas multifuente (COINCYDE)},

author = { Jesús E. {Díaz Verdejo} and Juan Carlos {Cubero Talavera} and Francisco {Cortijo Bon} and Antonio {Estepa Alonso} and Rafael {Estepa Alonso} and Germán {Madinabeitia Luque} and Olga {Pons Capote} and Amparo {Vila Miranda}



},

url = {/neus-cslab/proyectos-idi/coincyde},

year  = {2021},

date = {2021-09-01},

urldate = {2021-09-01},

booktitle = {Detección de ciberataques en “industria conectada” e IoT mediante integración y correlación de alertas multifuente (COINCYDE)},

issuetitle = {MICIN/AEI/10.13039/50110 0 011033},

number = {PID2020-115199RB-I00 },

pages = {8},

institution = {Universidad de Granada / Universidad de Sevilla},

organization = {Ministerio de Ciencia e Innovación },

series = {01/09/2021 a 31/08/2024},

abstract = {Los sistemas de monitorización de la seguridad en red (NSM) se encuentran hoy en día entre los componentes más relevantes para la detección y respuesta a los ciberataques. Sin embargo, sus capacidades de detección se limitan en su mayoría a ataques conocidos y tienden a generar una gran cantidad de alertas, muchas de las cuales son falsos positivos. Así, los operadores de ciberseguridad (CSO) deben supervisar una gran cantidad de alertas para determinar la ocurrencia real de incidentes, mientras que algunos de ellos permanecen sin ser detectados. Este proyecto tiene como objetivo desarrollar nuevas técnicas para mejorar las capacidades de detección mediante la adición de nuevos métodos basados en anomalías combinados con la correlación y priorización de alertas incorporando información contextual de la red. Esto mejorará la calidad de las alertas y reducirá la tasa de falsos positivos.



En esta propuesta se plantea el desarrollo de un NSM específico para plantas industriales con elementos del Internet of Things (IoT) y, más concretamente en uno de sus usos verticales: las SmartCity. Las instalaciones que pueden beneficiarse de la solución objeto de este proyecto son aquellas que permiten el control y monitorización de parques de dispositivos inteligentes (IoT, SmartCity), desde una aplicación o servicio web que se utiliza como interfaz de usuario para la gestión de servicios inteligentes. La elección del escenario tiene

una triple motivación. Primero, por la gran relevancia y expansión de este tipo de redes en la actualidad. Segundo, el escenario plantea una serie dificultades y requisitos específicos que no han sido convenientemente abordados en los SIEM actuales. Y tercero, la selección del escenario permite acotar el contexto, lo que posibilita un abordaje adecuado de la incorporación de información contextual.



El sistema a desarrollar incorporará múltiples detectores, incluyendo los usados habitualmente, considerando nuevos detectores específicos para el escenario que están orientados a las diversas amenazas existentes. Así, se desarrollarán detectores basados en anomalías a nivel del tráfico observado (flujos), a nivel de aplicación (sensorización) y a nivel de los servicios web usados para la operación remota. Adicionalmente, se hará uso de técnicas de inteligencia artificial para la correlación y priorización de las alertas incorporando información relativa al estado e historia previa de la red. Esto permitirá identificar falsos positivos, reducir el número de alertas finalmente enviadas al CSO y mejorar la información en las mismas.



Un elemento relevante y novedoso es el uso de una matriz de tráfico generada a partir de flujos en diferentes escalas de tiempo. Esta matriz contiene información sobre las conexiones de red que pueden explotarse para múltiples usos. Así, se pueden establecer algunos indicadores de compromiso para identificar ataques. También se puede utilizar para aplicar varios tipos de análisis de minería de datos, como la búsqueda de patrones comunes entre flujos, realizar perfiles de tráfico de servicios, evaluar la importancia y encontrar relaciones entre activos. La información extraída de esta matriz se utilizará como información contextual en la correlación y priorización de alertas.



Finalmente, la arquitectura propuesta incluye realimentación a partir de las acciones del CSO, lo que permite evaluar la calidad de detección y priorización y ajustar el rendimiento del sistema.},

note = {47795 €},

keywords = {},

pubstate = {published},

tppubtype = {online}

}

Cerrar

Los sistemas de monitorización de la seguridad en red (NSM) se encuentran hoy en día entre los componentes más relevantes para la detección y respuesta a los ciberataques. Sin embargo, sus capacidades de detección se limitan en su mayoría a ataques conocidos y tienden a generar una gran cantidad de alertas, muchas de las cuales son falsos positivos. Así, los operadores de ciberseguridad (CSO) deben supervisar una gran cantidad de alertas para determinar la ocurrencia real de incidentes, mientras que algunos de ellos permanecen sin ser detectados. Este proyecto tiene como objetivo desarrollar nuevas técnicas para mejorar las capacidades de detección mediante la adición de nuevos métodos basados en anomalías combinados con la correlación y priorización de alertas incorporando información contextual de la red. Esto mejorará la calidad de las alertas y reducirá la tasa de falsos positivos.

En esta propuesta se plantea el desarrollo de un NSM específico para plantas industriales con elementos del Internet of Things (IoT) y, más concretamente en uno de sus usos verticales: las SmartCity. Las instalaciones que pueden beneficiarse de la solución objeto de este proyecto son aquellas que permiten el control y monitorización de parques de dispositivos inteligentes (IoT, SmartCity), desde una aplicación o servicio web que se utiliza como interfaz de usuario para la gestión de servicios inteligentes. La elección del escenario tiene
una triple motivación. Primero, por la gran relevancia y expansión de este tipo de redes en la actualidad. Segundo, el escenario plantea una serie dificultades y requisitos específicos que no han sido convenientemente abordados en los SIEM actuales. Y tercero, la selección del escenario permite acotar el contexto, lo que posibilita un abordaje adecuado de la incorporación de información contextual.

El sistema a desarrollar incorporará múltiples detectores, incluyendo los usados habitualmente, considerando nuevos detectores específicos para el escenario que están orientados a las diversas amenazas existentes. Así, se desarrollarán detectores basados en anomalías a nivel del tráfico observado (flujos), a nivel de aplicación (sensorización) y a nivel de los servicios web usados para la operación remota. Adicionalmente, se hará uso de técnicas de inteligencia artificial para la correlación y priorización de las alertas incorporando información relativa al estado e historia previa de la red. Esto permitirá identificar falsos positivos, reducir el número de alertas finalmente enviadas al CSO y mejorar la información en las mismas.

Un elemento relevante y novedoso es el uso de una matriz de tráfico generada a partir de flujos en diferentes escalas de tiempo. Esta matriz contiene información sobre las conexiones de red que pueden explotarse para múltiples usos. Así, se pueden establecer algunos indicadores de compromiso para identificar ataques. También se puede utilizar para aplicar varios tipos de análisis de minería de datos, como la búsqueda de patrones comunes entre flujos, realizar perfiles de tráfico de servicios, evaluar la importancia y encontrar relaciones entre activos. La información extraída de esta matriz se utilizará como información contextual en la correlación y priorización de alertas.

Finalmente, la arquitectura propuesta incluye realimentación a partir de las acciones del CSO, lo que permite evaluar la calidad de detección y priorización y ajustar el rendimiento del sistema.

Cerrar

NOTA: La paginación afecta a todos los apartados. Vuelva a la página 1 para ver los elementos de otras categorías.

Acciones de transferencia (ciberseguridad)

Proyectos transf.

PI-2437/22/2023 – OREOS ("Solución integral de Gestión de Identidades de Nueva Generación")

Entidad financiadora: WHITEBEARSOLUTIONS S.L

Entidad/es participantes: AICIA – Universidad de Sevilla – N. invest.: 5

Periodo: 02/06/2023 a 29/11/2025

Enlaces | BibTeX

NOTA: La paginación afecta a todos los apartados. Vuelva a la página 1 para ver los elementos de otras categorías.

Patentes y propiedad intelectual

Inventores (p.o. de firma):

	Dpt. Ingeniería Telemática Entreplanta 2 - Noroeste ETSI (Escuela Técnica Superior de Ingeniería) C/ Camino de los descubrimientos s/n 41092 - Sevilla
	+34 954 48 73 84
	rafaestepa @ us.es
	Mapa

	Dpt. Ingeniería Telemática ETSI (Escuela Técnica Superior de Ingeniería) C/ Camino de los descubrimientos s/n 41092 - Sevilla
	Dpt. Teoría de la Señal, Telemática y Comunicaciones ETS Ing. Informática y Telecomunicaciones C/ Daniel Saucedo Aranda s/n 18071 - Granada

dirección

Contacto

VICENTE JESÚS MAYOR GALLEGO

PUESTOS

fORMACIÓN académica

Docencia reglada

líneas de investigación

ORCID

Resumen

Publicaciones (ciberseguridad)

2025

2024

2023

2022

2020

2019

Proyectos de investigación (ciberseguridad)

Acciones de transferencia (ciberseguridad)

Proyectos transf.

Patentes y propiedad intelectual

Otros